nginx에서 caddy로 이전한 가장 큰 이유도, dac_override를 막고도 동작하는게 컸음. dac_override를 막으면 root 권한을 가져도 파일 퍼미션을 무시하지 못함. 즉 아무 파일이나 읽고 쓸 수가 없음.

nginx 등 어떤 앱들은 root 권한으로 실행됐다가 나중에 내리는데, 이 root일 때 유저 소유의 파일(보통 설정 파일이나 로그, 인증서 등)을 읽음. 근데 이걸 못하게 하면 실행이 안 됨.;; 읽기 자체가 안 되니까.

하지만 dac_override를 막는 것은 보안에 있어서 중요한 요소. 파일에 손대지 못하면 결국 할 수 있는 일은 굉장히 제한됨. 외부에서 접속하는 서버 앱에 필수적으로 가해야할 제한.

여기에 폴더/파일 접근 권한을 엄격하게 주면, root 권한을 얻은 침입자가 할 수 있는 일을 사실상 무의미한 수준으로 제한할 수 있음. AppArmor나 selinux 같은 MAC 보안 모듈을 필수적으로 사용할 이유죠.